追踪数据执行

追踪数据执行

我家里的一台机器感染了一些恶意软件。它首先显示为 winulty.exe。经过调查,我认为 winulty.exe 本身是一个未感染的文件,但在加载到内存后正在被修改。为所有进程和服务启用数据执行保护已证实这是真的。

我如何追踪导致此问题的进程?我使用 sysinternals.com 的文件监视器来监视 winulty.exe,发现托管大多数系统服务的 svchost.exe 实例以及 dfrgntfs.exe 正在访问此进程。我如何知道哪个服务或哪个 DLL 已被感染?

答案1

您确定它是 的正确实例吗SVCHOST.EXE?您是如何确定的?它是哪个版本的 Windows?

重复之前的操作,但这次,查看SVCHOST.EXE写入WINULTY.EXE内存的实例的 PID,然后运行进程探索器— 同样来自 Sysinternals—(确保以管理员身份运行),然后双击SVCHOST.EXE具有您记下的 PID 的实例。现在查看“服务”选项卡以查看该实例托管的服务。希望该实例中不会有太多服务(理想情况下只有一个)。根据它托管的服务,您可以尝试停止它们以查看它是否继续。如果WINULTY.EXE仅在启动后被感染,那么同样,取决于托管的服务(您可以在评论中发布它们以获取建议或参考黑毒蛇指南),您可以尝试禁用它们,看看重启后它是否继续。

答案2

最简单的方法就是运行防病毒扫描;你无法真正知道有多少文件被感染,因此自己删除它们可能会有问题。它应该会找出并隔离所有受感染的文件。

你可以找到不少不错的免费防病毒应用程序,例如微软安全必备或者停下来!

答案3

安装多个防病毒软件的替代方法是进行在线扫描。

我喜欢的一些趋势科技上门服务卡巴斯基实验室免费病毒扫描熊猫。请注意,每项操作都需要几个小时才能完成,并且可能要求您使用 Internet Explorer 作为浏览器

一些反广告软件扫描也会很有用,例如广告意识间谍机器人

答案4

最好使用可启动的 AV CD,从中启动并在操作系统离线时扫描驱动器,然后在重新启动 Windows 后使用 MBAM 或其他扫描仪完成清理。

可启动 AV CD http://www.techmixer.com/free-bootable-antivirus-rescue-cds-download-list/

工商管理硕士 http://download.cnet.com/Malwarebytes-Anti-Malware/3000-8022_4-10804572.html

相关内容